CVE-2024-50608

Nome do Software Vulnerável e Versões Afetadas Fluent Bit versão 3.1.9

Descrição Foi descoberto um problema no Fluent Bit quando o plugin de entrada Prometheus Remote Write está em execução e escutando em um endereço IP e porta. É possível enviar um pacote com Content-Length: 0, o que causa a queda do servidor. O tratamento inadequado do caso em que Content-Length é 0 permite que um usuário (com acesso ao endpoint) realize um ataque remoto de Negação de Serviço. A falha ocorre devido a uma desreferência de ponteiro NULL quando 0 (proveniente do Content-Length) é passado para a função cfl sds len, que por sua vez tenta converter um ponteiro NULL para a struct cfl sds. Isso está relacionado a process payload metrics ng() em prom rw prot.c.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.